Користувачам WhatsApp слід уважно стежити за тим, що вони завантажують на свої смартфони Android. Дослідники ESET виявили нову версію шпигунського програмного забезпечення GravityRAT для Android, яка ховається в заражених версіях програм обміну повідомленнями BingeChat і Chatico. Оскільки МСП, зокрема, також люблять використовувати приватні смартфони, включаючи WhatsApp, слід бути обережними.
У розслідуваній справі шкідливий додаток викрадає резервні копії WhatsApp, а також може видаляти файли на пристроях. Щоб вас не відразу помітили, програма пропонує законні функції чату на основі програми з відкритим кодом OMEMO Instant Messenger. ESET підозрює групу SpaceCobra за цією кампанією, яка, ймовірно, діє з серпня 2022 року.
Використовується в цілеспрямованих атаках
Шкідливий додаток BingeChat поширюється через веб-сайт, який потребує реєстрації, і, ймовірно, відкривається лише тоді, коли зловмисники очікують, що його відвідають певні жертви. «Ми знайшли веб-сторінку, яка має надати шкідливу програму після натискання кнопки ЗАВАНТАЖИТИ ПРОГРАМУ.
Однак для цього відвідувачі повинні зареєструватися. Однак у нас не було даних для входу, і реєстрація була закрита. Ми припускаємо, що оператори здійснюють реєстрацію лише тоді, коли очікують приходу конкретної жертви. Потенційним цілям може знадобитися конкретна IP-адреса, геолокація, спеціальна URL-адреса або відвідування веб-сайту в певний час», — каже дослідник ESET Лукас Стефанко. Програма ніколи не була доступна в магазині Google Play.
Сфальсифікований додаток Chatico був націлений на користувача в Індії. Загалом дослідники ESET підозрюють, що кампанія є дуже цілеспрямованою та що атакуються ретельно відібрані цілі.
Хто стоїть за кампанією, незрозуміло
Група, яка стоїть за шкідливою програмою, залишається невідомою. Дослідники Facebook і експерти Cisco Tales приписують GravityRAT групі, що базується в Пакистані. ESET відстежує їх під назвою SpaceCobra та відстежує кампанії BingeChat і Chatico до цієї групи.
Як частину законної функціональності програм, вони пропонують створення облікового запису та параметри реєстрації. Перед тим, як користувач увійде в додаток, GravityRAT починає взаємодіяти з його C&C сервером, викрадаючи дані користувача пристрою та чекаючи на виконання команд. GravityRAT може шукати та вилучати журнали викликів, списки контактів, SMS-повідомлення, місцезнаходження пристрою, основну інформацію про пристрій і файли з певними розширеннями для зображень, фотографій і документів. У цій версії GravityRAT є два невеликих оновлення порівняно з попередніми загальновідомими версіями GravityRAT: вилучення резервних копій WhatsApp і отримання команд на видалення файлів.
B2B CYBER SECURITY запитав чат GPT для GravityRAT
Ось що ChatGPT хоче знати про GravityRAT.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.